ผู้ใช้ทั่วไปสามารถตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ของ Mac ได้อย่างไร?

ผู้ใช้ทั่วไปสามารถตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ของ Mac ได้อย่างไร?

ก่อนที่คุณจะลงคะแนนคำถามนี้หรือบรรยายให้ฉันฟังว่าฉันเป็นคนหวาดระแวงและไม่ควรมีใครทำแบบนั้นโปรดอ่านด้านล่าง

ในเดือนกรกฎาคม 2558 CVE-2015-3692เปิดเผยว่าเฟิร์มแวร์ EFI ของ Mac อาจถูกแฮกโดยผู้โจมตีจากระยะไกล (เวกเตอร์ที่มีให้สำหรับสิ่งนี้มีอยู่ใน CVE อื่น ๆ แต่อาจเป็นอะไรก็ได้รวมถึงสิ่งต่าง ๆ เช่นตัวติดตั้งการอัพเดท Flash ปลอมที่เป็นอันตราย)

ช่องโหว่นี้ก็ทำให้ประชาชนอย่างน้อยสี่สัปดาห์ก่อนที่แอปเปิ้ลปะมัน 30 กรกฏาคมสำหรับ OS X 10.8, 10.9 และ 10.10 มีการอัปเดตเฟิร์มแว EFI การรักษาความปลอดภัย 2015-001

นักวิจัยด้านความปลอดภัยคนเดียวกันซึ่งประกาศว่าช่องโหว่นี้ยังอ้างว่าได้เห็นการสาธิตในการประชุมของแฮ็คเฟิร์มแวร์ที่ไม่สามารถลบหรือเขียนทับได้

ดังนั้นเมื่อของ Mac EFI ได้รับการเป็นเจ้าของถ้าโจมตีก็ทำมันขวาแล้ววิธีเดียวที่จะ reflash EFI กับเฟิร์มแอปเปิ้ลที่ถูกต้องจะลวดขึ้น reflasher โดยตรงกับชิป EFI บนกระดานตรรกะของตัวเอง (ไม่ได้ลอง ที่บ้าน)

บทความข่าวที่รายงานว่าช่องโหว่นี้แสดงผลผิดพลาดโดยบอกว่าผู้ใช้ส่วนใหญ่ไม่ต้องกังวลและสิ่งที่คุณต้องทำเพื่อป้องกันตัวเองคืออย่าให้ Mac ของคุณเข้าสู่โหมดสลีปและปิดการใช้งานผู้ใช้รูท อย่าไว้วางใจ 100% แสดงความคิดเห็นหัวข้อในบทความเหล่านั้นโดยสรุปเช่นนี้: หากแอปทั้งหมดของคุณมาจากแหล่งที่เชื่อถือได้เช่น App Store อย่างเป็นทางการและคุณไม่เคยรันสิ่งใด ๆ ที่ไม่ได้ลงนามโดยนักพัฒนาซอฟต์แวร์ที่รู้จักโดย Apple ดังนั้นคุณไม่ควรกังวล

แต่เมื่อเดือนกันยายน 2558 เราได้เรียนรู้เกี่ยวกับการใช้ประโยชน์จาก XCodeGhostซึ่งเป็นที่ทราบกันดีว่ามีผลให้แอพที่ติดมัลแวร์จำนวนมากแสดงขึ้นบน iOS App Store อย่างเป็นทางการ - แต่สำหรับแอพ OS X ในบทความที่เชื่อมโยง Malwarebytes เขียน:

Wardle ชี้ให้เห็นว่าเมื่อเดือนมีนาคมที่ผ่านมา Xcode มีความเสี่ยงต่อสิ่งนี้ แต่ที่น่ากลัวก็ชี้ไปที่แอพ OS X อื่น ๆ อีกมากมาย แอปเหล่านี้อาจเสี่ยงต่อการถูกโจมตีที่คล้ายกัน

พวกเขายังเขียนว่า "ผู้ใช้โดยเฉลี่ยไม่ควรตื่นตระหนก" - มนต์เดียวกันกับที่ฉันมักจะเห็นนกแก้วบนฟอรัมการสนับสนุนของ Apple และที่อื่น ๆ ทุกครั้งที่ผู้ใช้โพสต์กระทู้เกี่ยวกับปัญหาแปลก ๆ ที่พวกเขามี "เพียงฟอร์แมตไดรฟ์ของคุณใหม่อีกครั้งและทำการติดตั้งระบบใหม่ทั้งหมดปัญหาน่าจะเป็นการแก้ไขระบบของบุคคลที่สาม" เราได้รับแจ้ง เมื่อไม่สามารถแก้ไขได้จะมีคนบอกว่ามันเป็นปัญหาฮาร์ดแวร์เช่น HDD ที่ล้มเหลว GPU ที่ล้มเหลวหรือ RAM ที่ไม่ดี ฉันได้เห็นหัวข้อที่ผู้ใช้แทนที่องค์ประกอบทุกตัวใน Mac ของพวกเขาและปัญหาจะกลับมาเสมอ

ตอนนี้เรารู้แล้วว่าเป็นไปได้ที่สมมุติว่าเฟิร์มแวร์ของผู้ใช้ถูกแฮ็ก - ดังนั้นแม้ว่าเมนบอร์ดของพวกเขาจะถูกแทนที่เมื่อพวกเขาติดตั้งแอพใหม่เฟิร์มแวร์ก็จะถูกมัลแวร์ และหากไม่ได้เปลี่ยนเมนบอร์ดก็จะถูกซ่อนไว้ไม่ว่าจะเกิดอะไรขึ้น

นั่นทำให้ฉันกลับไปที่คำถามหลัก

ผู้ใช้ทั่วไปสามารถตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ของ Mac ได้อย่างไร? เช่นคุณจะตรวจสอบได้อย่างไรเพื่อให้แน่ใจว่าเฟิร์มแวร์ Mac ของคุณไม่เคยถูกคุกคามจากมัลแวร์? ฉันไม่พบวิธีใด ๆ ที่เข้ากันได้กับ El Capitan ที่ไม่ต้องการปิดใช้งาน SIP สำหรับระบบปฏิบัติการรุ่นก่อนมีเครื่องมือของบุคคลที่สามที่มีความซับซ้อนที่เรียกว่า DarwinDumper ซึ่งสามารถถ่ายโอนเนื้อหา EFI ของคุณไปยังไฟล์ข้อความได้ แต่คุณยังต้องมีเฟิร์มแวร์ Apple ที่ถูกต้องเพื่อเปรียบเทียบกับมันนี่ไม่ใช่วิธีที่ผู้ใช้ทั่วไป มีความสามารถในการทำ

การบอกให้ผู้คนไม่ต้องกังวลเกี่ยวกับสิ่งที่พวกเขาทำได้ดีอาจเป็นเหยื่อของและไม่มีทางที่จะตรวจสอบว่าพวกเขาเป็นสิ่งที่ทำให้การหาประโยชน์เหล่านี้เป็นประโยชน์สำหรับแฮกเกอร์ซึ่งขึ้นอยู่กับความพึงพอใจและขาดความระมัดระวัง ส่วนหนึ่งของผู้ใช้

==

แก้ไข: ผมพบว่าการติดตั้งแอปเปิ้ลอย่างเป็นทางการของเฟิร์มแวล่าสุดบนเว็บไซต์การสนับสนุนแอปเปิ้ล ตัวติดตั้งไม่ทำงานใน 10.10 หรือ 10.11 อย่างแปลก การใช้ Pacifist ฉันจะแตกไฟล์. scap สำหรับ Macbook Pro 9,1 ของฉัน ฉันเปรียบเทียบไบนารีใน HexFiend กับ biosdump ที่ฉันดึงโดยใช้ DarwinDump หลังจากรีบูตเข้าสู่โหมดการกู้คืนและทำงานcsrutil disableบนเทอร์มินัลเพื่อปิดใช้งานรูทและเปิดใช้งานความสามารถในการเรียกใช้ kexts ที่ไม่ได้ลงนาม ฉันกู้คืนส่วนหัว BIOS นี้:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

BIOS อย่างเป็นทางการจากส่วนหัวของ Apple:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

นอกเหนือจากนั้นไฟล์นั้นดูแตกต่างกันมาก แต่ฉันเดาว่าไฟล์. scap มีการบีบอัดบางอย่าง อย่างน้อยนั่นก็บอกฉันว่าฉันได้ติดตั้งเฟิร์มแวร์ตัวล่าสุดแล้วหนึ่งตัวที่เปิดตัวหลังจากแฮ็กถูกประกาศ ฉันดี prolly จะดีมากที่จะสามารถยืนยันได้ว่าฉันทำได้ดีผ่านการตรวจสอบการตรวจสอบบางอย่าง! มองที่คุณ Apple!

ในการตรวจสอบเฟิร์มแวร์ของระบบ Intel UEFI เช่น Mactel ให้บูตdistro Intel LUV (การตรวจสอบความถูกต้องของ Linux UEFI), luv-live, รัน Intel CHIPSEC มันจะตรวจหาช่องโหว่ของเฟิร์มแวร์ที่รู้จักกันทั่วไปส่วนใหญ่ คุณควรเรียกใช้ CHIPSEC เมื่อคุณได้รับกล่องของคุณเป็นครั้งแรกบันทึก ROM จากนั้นจึงเรียกใช้ CHIPSEC อีกครั้งและเปรียบเทียบ ROM สำหรับการเปลี่ยนแปลง คุณสามารถใช้ UEFItool, CHIPSECหรือUEFI-Firmware-Parserหรือเครื่องมืออื่น ๆ จำนวนหนึ่งเพื่อตรวจสอบทางนิติวิทยาศาสตร์ของ ROM

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อและเครื่องมือที่เกี่ยวข้องดูสไลด์ของฉันสำหรับงานนำเสนอที่ฉันให้เมื่อเร็ว ๆ นี้

ชื่อของ“ ผู้ใช้โดยเฉลี่ย” เป็นเขตอันตรายได้อย่างไรเนื่องจากฉันไม่พิจารณาว่าใครก็ตามที่ใช้ค่าเฉลี่ยของเทอร์มินัล - ไม่ผ่านการตัดสินผู้ชมที่นี่มีวิธีที่สูงกว่าค่าเฉลี่ยเพื่อให้รู้ว่าพวกเขาควรตรวจสอบเฟิร์มแวร์ . หวังว่าฉันจะไม่ฟังท่าที่สรุปสั้น ๆ เกี่ยวกับสิ่งที่ฉันคิดว่าผู้ใช้ mac โดยเฉลี่ยควรทำ:

ตัวติดตั้ง macOS จะอัปเดตเฟิร์มแวร์เมื่อคุณติดตั้ง / ติดตั้งระบบปฏิบัติการใหม่ดังนั้นเพียงบูตเพื่อกู้คืนและติดตั้ง macOS เวอร์ชันปัจจุบันคุณจะไม่สูญเสียโปรแกรมการตั้งค่าข้อมูลและโอกาสที่จะมั่นใจได้ว่าเฟิร์มแวร์ของคุณทันสมัย แม้ว่าคุณจะติดตั้งระบบปฏิบัติการเป็นเวลาหลายเดือนที่ผ่านมา - หากเฟิร์มแวร์ตัวใหม่อยู่ใกล้เมื่อตัวติดตั้งตรวจสอบในขณะที่พร้อมที่จะติดตั้งคุณจะได้รับการอัปเดตนั้นเป็นส่วนหนึ่งของแบบฝึกหัด

หากคุณไม่สามารถหรือติดตั้งเพียงแค่เรียกใช้การติดตั้งก็จะกลายเป็นเรื่องยุ่งยากมากขึ้นในการรายงาน / ตรวจสอบว่าคุณมีความทันสมัย ฉันคิดว่ามันขึ้นอยู่กับสาเหตุที่คุณคิดว่าคุณไม่ได้รับการอัปเดตซึ่งเป็นส่วนหนึ่งของกระบวนการอัปเกรด / อัปเดตตามปกติ เนื่องจากไม่มีการตรวจสอบโดยทั่วไปเกี่ยวกับเฟิร์มแวร์ทั้งหมดฉันจะบอกว่าผู้ใช้ทั่วไปไม่สามารถตรวจสอบเฟิร์มแวร์ได้และแม้แต่ผู้ใช้ที่ไม่ธรรมดาก็ยังประสบปัญหาในการวิเคราะห์ระดับที่ต้องการ การต่อสู้ของผู้ใช้โดยเฉลี่ยมีความแตกต่างระหว่างตรวจสอบและอนุมัติ ผู้ใช้ผู้เชี่ยวชาญพบว่ามันน่าเบื่อในการตรวจสอบ checksums และเครือข่ายการเข้ารหัสลับของความไว้วางใจและธรรมชาติของมนุษย์คือเราไม่ได้ทำกิจกรรมเหล่านั้นได้ดีแม้ในสภาพแวดล้อมที่ได้รับการออกแบบทางวิศวกรรมที่ดีมีแรงจูงใจดี

ฉันจะเปิดตั๋วสนับสนุนกับ Apple สำหรับแต่ละอินสแตนซ์ที่ฉันต้องการตรวจสอบเฟิร์มแวร์และมีส่วนร่วมในรายชื่อผู้รับจดหมายแจ้งเตือนความปลอดภัยของ Appleเพื่อให้คุณอยู่ในวงเมื่อสิ่งต่าง ๆ เปลี่ยนไป

ฉันขอโทษถ้านี่ไม่ใช่คำตอบที่คุณต้องการ แต่ฉันก็รู้สึกว่านี่เป็นรายการเล็ก ๆ ของฉันในการตอบทุกคนที่เห็นคำถามของคุณและสงสัยว่าจะเริ่มเรียนรู้ได้อย่างไร เมื่อผู้ใช้ถามแอปเปิ้ลเพื่อขอความช่วยเหลือเพิ่มเติมในที่สุดก็จะเขียนบทความฐานความรู้ ในบางจุดให้ทุนจะเพิ่มและปัญหาจะได้รับการออกแบบให้ตรงกับระดับการศึกษาของผู้ใช้ เราเพิ่งจะเห็นสิ่งต่าง ๆ ในช่วงแรก ๆ

เช่นเดียวกับการอัพเดต macOS 10.13 High Sierra จะตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ของ Mac โดยอัตโนมัติสัปดาห์ละครั้ง หากพบปัญหาเกี่ยวกับเฟิร์มแวร์เครื่อง Mac ของคุณจะเสนอให้ส่งรายงานไปยัง Apple โพสต์โดย The Eclectic Light Companyพูดถึงสิ่งนี้เกี่ยวกับรายงาน;

หากคุณใช้งาน Mac จริงแทนที่จะเป็น 'Hackintosh' Kovah จะขอให้คุณตกลงที่จะส่งรายงาน วิธีนี้จะช่วยให้ eficheck ส่งข้อมูลไบนารีจากเฟิร์มแวร์ EFI รักษาความเป็นส่วนตัวของคุณโดยไม่รวมข้อมูลที่เก็บไว้ใน NVRAM Apple จะสามารถวิเคราะห์ข้อมูลเพื่อตรวจสอบว่ามีการเปลี่ยนแปลงโดยมัลแวร์หรือสิ่งอื่นใด

AppleInsiderพูดเช่นนี้เช่นกัน

รายงานที่ส่งไปยัง Apple ไม่รวมข้อมูลที่เก็บไว้ใน NVRAM Apple จะตรวจสอบข้อมูลที่ส่งเพื่อประเมินว่ามีการโจมตีของมัลแวร์หรือไม่

ตรวจสอบที่นี่เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับคุณสมบัติใหม่นี้: macOS High Sierra ทำการตรวจสอบความปลอดภัยโดยอัตโนมัติเกี่ยวกับเฟิร์มแวร์ EFI ในแต่ละสัปดาห์

เพียงแค่อัปเดตคำถามนี้เนื่องจากมีโปรแกรมใหม่ให้ใช้ ..

มันเรียกว่า eficheck มันอยู่ในไดเรกทอรี / usr / libexec / firmwarecheckers / eficheckหรืออาจไม่ได้อยู่ในเส้นทางของคุณดังนั้นมันจึงซับซ้อนกว่าคนอื่นเล็กน้อย แต่มีหน้าคนสำหรับเอกสารการใช้งาน

เป็นเรื่องสำคัญที่จะต้องพิจารณาว่าสิ่งใดที่มีความซับซ้อนพอที่จะเข้าเรียนใน EFI ของคุณนั้นมีแนวโน้มที่จะหลบเลี่ยงการตรวจจับได้ในระดับหนึ่ง นั่นเป็นเหตุผลหลายประการที่การตรวจสอบไวรัสไม่มีประโยชน์ถึงแม้ว่าผู้ที่สำรอก "การตรวจสอบไวรัสเป็นขยะ" ก็ไม่มีเหตุผลว่าทำไมและทำซ้ำบทสรุปที่คนฉลาดกว่าพวกเขาซึ่งหมายความว่า บริษัท ป้องกันไวรัสมักไม่รู้ว่ามีความสามารถ เพื่อวิเคราะห์มัลแวร์เฉพาะของ Mac อย่างถูกต้องดังนั้นพวกเขาจะไม่เพิ่มค่าแฮชที่ไม่ซ้ำกันของไฟล์ลงในฐานข้อมูลเพื่อให้คอมพิวเตอร์ของคุณสามารถคำนวณแฮชของไฟล์ของตัวเองแล้วนำไปเปรียบเทียบกับฐานข้อมูลของแฮช การสแกนไวรัสเกือบทั้งหมดไม่ทำอะไรมากและไม่มองหาพฤติกรรมที่ไม่เหมาะสม

ในตอนท้ายของวันแม้ว่า EFI ของ Apple จะเป็น UEFI ของ Intel ดังนั้นคุณจึงเชื่อใจให้ Apple ทำสิ่งที่ถูกต้องซึ่งซับซ้อนและมีเทคนิคจริงๆ Apple ไม่สามารถคิดค่า PKI ของตนเองและคุณเคยเห็นคู่มือผู้พัฒนาโปรเซสเซอร์ของ Intel มาก่อนหรือไม่? เป็นกรีกโบราณหลายพันหน้า ฉันหมายถึงว่าคุณไม่คิดว่าแอปเปิ้ลสวยและฉลาดใช่ไหม?

รายการส่งจดหมายความปลอดภัยเป็นการแจ้งเตือนที่ง่ายเมื่อมีการเปิดตัวการปรับปรุงและไม่มีอะไรเพิ่มเติม คุณจะได้พบกับแพตช์ใหม่เพื่อระบุปัญหาที่ยาวและใช้ประโยชน์จากปัญหา CVE-IDed ได้อย่างง่ายดายซึ่งส่งผลต่อระบบปฏิบัติการล่าสุดและอันเก่ากว่าซึ่งเป็นที่รู้จักกันดี ไม่มีสิ่งใดที่จะป้องกันการหาประโยชน์ในอนาคตในการอัปเดต .. อย่างน้อยที่สุดพวกเขาจะกล่าวถึงตลอดไปเนื่องจากนโยบายของพวกเขาที่จะไม่พูดถึงสิ่งเหล่านี้ รายการความปลอดภัยที่ระบุจะกล่าวถึงปัญหาที่เฉพาะเจาะจงได้รับการแก้ไขโดยการอัพเดท

หากพวกเขาระบุว่า "การโจมตีของมัลแวร์" (มันไม่ติดหลังจาก?) มันจะละเมิดนโยบายของตัวเองถ้าพวกเขายืนยันและรายงานกลับไปยังผู้ใช้รวมถึงการตัดสินใจทางธุรกิจที่แย่ตั้งแต่ ลูกค้าของพวกเขายังไม่เชื่อในมัลแวร์ แจ้งให้ทราบว่าไม่มีอะไรเกี่ยวกับการติดต่อผู้ใช้หรือแก้ไขปัญหา ได้เห็นพาดหัวข่าวตอนนี้ .. ข่าวร้ายทั้งหมดเมื่อเร็ว ๆ นี้ได้ทำให้อาตมาของพวกเขาฟกช้ำและดูเหมือนว่ามันกำลังเข้าใกล้จุดเปลี่ยน